Trojaner.. Hacker schaut mir bei allem zu..
 

Hallo , hoffe man kann mir helfen.
Ich hab einen Gast auf meinem Pc. Spybot hat zwei Trojaner gefunden diese hab ich gelöscht aber der Gast war immer noch da. Hab eine Live-Unterhaltung mit ihm gehabt in meinem Editor. Hört sich doof an , war aber so. oO Ich weiß das er jetzt auch alles sehen kann. Deswegen bräuchte ich dringend eure Hilfe.

Hier ist das Logfile:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:39:32, on 28.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Lavasoft\Ad-Aware\AAWTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [AOLRebootNeeded] regsvr32.exe /s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - h**p://dingens-ohne-namen.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 8888 bytes



Wäre echt super wenn man mir sagen wie ich das Teil finden kann und beseitige. Laut dem Hacker würde keiner den Trojaner finden.

Liebe Grüße die trotzdem noch gut gelaunte Engelstraene :)

Hallo Kerstin L. aus Leer und :hallo:

Es gibt zwei Möglichkeiten. Eine schnelle und sichere und eine langwierige Lösung.

1.) http://www.trojaner-board.de/51262-a...sicherung.html

2.) Klicke auf den Link "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die Liste unter Punkt 2 ab.
Ich nehme die Herausforderung an. :D

ciao, andreas

Hallo john.doe,

ich hab soeben schon hinter meiner Win XP Cd hinterhertelefoniert. Die Treiber fürs Motherboard suche ich mir nun auch noch zusammen und werde diese sichern.

Werde alles nach deiner Anleitung machen. Danke schon mal. Die zweite langwierige Methode wäre eindeutig zu langwierig lol. Da er alles löschen oder ändern kann. Grade scheint er nicht da zu sein sonst würde er hundert Pro was unternehmen damit ich mir die Infos besorge oder er liest mich und lacht sich ins Fäustchen weil er ja so toll sein soll laut seiner eigenen Aussage.

Deine Anrede find ich auch gut *g. Würd gerne mal wissen wie du das gemacht hast. :)

Lg Engelstraene

Hallo,

schade, ich habe mich schon auf den Kampf gefreut. :(
Treiber immer aktuell aus dem Internet besorgen. Der Gerätemanager (oder msinfo32) kann dabei hilfreich sein.

Es wäre noch wichtig herauszufinden, wie er es geschafft hat. Ohne deine (oder anderweitige) Unterstützung ist das nicht möglich.

:) Klicke mir.

ciao, andreas

Das mit dem Link war nun zu genial *g Wie doof von mir. :)


Ja wie hat er das geschafft ? Die kürzeste Erklärung wäre ich bin Channelmoderator in Knuddels , seit gestern. Habe eine Nachricht bekommen ich wär negativ aufgefallen ebenfalls von einem Moderator gesendet (das dieser auch gehackt war kann man ja so nicht wissen) Ich hab den Link angeklickt und beim Downloaden hab ich gesehen das dies eine Exe ist und keine Bilddatei wo angeblich der Beweis drauf gescreent wäre. Es gibt tausende Fälle davon. Viele denken das sie nun befreit sind aber ich hatte ja das Glück, noch nachdem ich den angeblich alles verursachenden gelöschten Trojaner ,mit ihm schreiben zu können da er mir alles was ich schreiben wollte gelöscht hat und seinen Senf dazugegeben hatte. So bin ich dann hier her gekommen. Obwohl ich kenn mich eigentlich recht gut aus.

Wie findest du es wenn ichs trotzdem mal die langwierige versuche? Werd dann mal schauen was ich so für dich habe. So gäbe es nämlich evtl eine Möglichkeit ohne das man alles neuaufsetzen und formatieren müsste.

Lg

Also so einem Burschen mal online auf die Finger zu hauen wär doch schon mal was John, oder? Nett lächeln und ihn ausknipsen.....harhar :)

Hab doch schon gesagt, die Herausforderung reizt mich. :)

Und jemand der behauptet:
Kann nur ein Schwätzer oder ein Scriptkiddie sein. Trenne grundsätzlich die Internetverbindung, falls du sie nicht benötigst.

*Ärmel hochkrempel und insgeheim freue*

GMER - Rootkit Detection

• Lade Tralala von File-Upload.net - Tralala.exe
• Klick auf Download (rechts in der Mitte) und speichere es auf den Desktop
• Doppelklick auf Tralala.exe
• Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

• Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
• nach Beendigung des Scan, drücke "Copy"
• nun kannst Du das Ergebnis hier einfügen. Sollte das Log zu lang sein, dann lade es bei einem Filehoster wie z.B. Materialordner hoch und poste den Link.
• Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

ciao, andreas

Hier schon einmal die Liste der installierten Programme.






Ad-Aware
Ad-Aware
Adobe Acrobat 9 Pro - English, Français, Deutsch
Adobe Bridge 1.0
Adobe Common File Installer
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Help Center 1.0
Adobe Photoshop CS2
Adobe Reader 9.1 - Deutsch
Adobe Shockwave Player
Adobe Stock Photos 1.0
Avira AntiVir Personal - Free Antivirus
CCleaner (remove only)
Choice Guard
Der Fluch von Montezuma
Die Siedler IV
DragonStone
EVEREST Home Edition v2.20
Farm Mania Deluxe
Free YouTube to Mp3 Converter version 3.1
Haunted Hotel II: Glaube den Lügen
HijackThis 2.0.2
ICQ6.5
Java(TM) 6 Update 11
Java(TM) 6 Update 7
Junk Mail filter update
Kaspersky Online Scanner
Logitech® Camera-Treiber
Luxor Amun Rising with Luxor
Luxor Mahjong
Mahjong Towers Eternity
Mahjongg Artifacts Deluxe
Malwarebytes' Anti-Malware
Messenger Plus! Live
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office Live Add-in 1.3
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook Connector
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Mozilla Firefox (3.0.7)
MSVCRT -> Kenn ich nicht.
Nero 7 Premium
neroxml
NVIDIA PhysX v8.04.25
Pakoombo Deluxe
QuickTime
Season Match 2
Secrets of Olympus
Segoe UI -> Kenn ich ebenfalls nicht.
Skype™ 4.0
Spybot - Search & Destroy
TeamViewer 3
The Mystery of the Crystal Portal Deluxe
VCRedistSetup -> Kenne ich nicht. Was ist das? :D
Viewpoint Media Player
Visual C++ 2008 x86 Runtime - (v9.0.30729)
Visual C++ 2008 x86 Runtime - v9.0.30729.01
WIDCOMM Bluetooth Software
Winamp
Windows Live Call
Windows Live Communications Platform
Windows Live Essentials
Windows Live Essentials
Windows Live Mail
Windows Live Messenger
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows XP Service Pack 3
WinRAR
XML Paper Specification Shared Components Language Pack 1.0
Zattoo 3.3.3 Beta



So der Bericht von der Anti-Malware kommt gleich. Läuft gerade.

CCleaner hab ich schon seit Wochen drauf , keine Fehler und alles entfernt.


Lg

Scrippt Kiddies? mhhhh dazu fällt mir nur ein Optix :D

Hehe gleich gehts rund........

Warum posten hier eigentlich ständig "irgendwelche" Leute rein? Ich muss hier wohl einige melden... :D
MSVCRT.exe Windows Prozess - Was ist das? Allerdings wird der normalerweise nicht unter installierter Software angezeigt. :confused:
Segoe UI ? Wikipedia
VCRedistSetup Software Informer: Latest version download, news and info about this Nero AG program. So bescheuert wird er dann doch nicht sein, dass er in der Liste erkenntlich ist. Mir ging es mehr um veraltete Software.

Hast du einen möglichst genauen Zeitpunkt, wann du auf den Link geklickt hast?

ciao, andreas

Danke für die Erklärungen. Hätte auch selber drauf kommen können bin nur bissl aufgeregt.

3 infizierte wurden bereits schon gefunden und es läuft immer noch :rolleyes:.

Der Zeitpunkt müsste so ziemlich genau gegen 22:30 Uhr gestern gewesen sein.


Lg

Nun bin ich geschockt.

Im letzten Moment der Untersuchung haut er 16 weitere rein. :-O


Hier der Bericht:


Malwarebytes' Anti-Malware 1.35
Datenbank Version: 1910
Windows 5.1.2600 Service Pack 3

28.03.2009 14:22:13
mbam-log-2009-03-28 (14-22-07).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 138015
Laufzeit: 37 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 1
Infizierte Dateien: 14

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\IE updates (Adware.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\Adobe Pdf Money Guide.exe (Adware.Agent) -> No action taken.
C:\WINDOWS\ebook_library.dll (Adware.Agent) -> No action taken.
C:\WINDOWS\system32\Checker.exe (Adware.Agent) -> No action taken.
C:\WINDOWS\system32\IE updates\Roulette Cheat Guide - Make Money Online TODAY.url (Adware.Agent) -> No action taken.
C:\WINDOWS\system32\IE updates\sexYsexlog.url (Adware.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Kerstin\Startmenü\Adobe Pdf Money Guide.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Kerstin\Startmenü\Crack Money Maker Checker.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Kerstin\Startmenü\Money Maker Checker Help Guide.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Kerstin\Startmenü\Money Maker Checker.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Kerstin\Startmenü\Quick Money Guide.lnk (Rogue.Link) -> No action taken.
C:\WINDOWS\system32\Crack.txt (Rogue.Link) -> No action taken.
C:\WINDOWS\system32\How To Use The Checker.pdf (Rogue.Link) -> No action taken.
C:\WINDOWS\Quick Money Guide.pdf (Rogue.Link) -> No action taken.
C:\WINDOWS\Read Me First.txt (Rogue.Link) -> No action taken.


Edit: Ein paar hab ich vergessen zu kopieren. Da nun jeder weiß wie ich heiße habe ich meinen PC namen nicht editiert *lach



Alle entfernen oder?

Da sind so ein paar Sachen die dabei sind die sind komisch. Ich glaub ich sollte das mit den Paidmails sein lassen.

Ja und ich kann dir nur empfehlen in Zukunft dein Surf- und Downloadverhalten zu ändern.
Noch kann ich es entfernen. :D
Ja.
Ja. :daumenhoc

ciao, andreas

Was siehst du denn was ich mache? Würd mich echt interessieren. Was meinst du nun direkt? Kannst auch per PN schreiben.

Edit: Materialordner- Upload der Tralala Datei von mir

Lg

Link funzt nicht, bitte nochmal neu

Stimmt danke für den Hinweis hab wohl den oberen Link in der Adressleiste kopiert lol

Materialordner- Tralala Log

Lg

Dann den nächsten, scannen lassen und Log posten: http://www.trojaner-board.de/51871-a...tispyware.html

ciao, andreas

Oki doki, läuft, schlägt ebenfalls an.

Lg

So der erste Log.


SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 03/28/2009 at 05:15 PM

Application Version : 4.26.1000

Core Rules Database Version : 3819
Trace Rules Database Version: 1773

Scan type : Complete Scan
Total Scan Time : 01:24:59

Memory items scanned : 520
Memory threats detected : 0
Registry items scanned : 6301
Registry threats detected : 1
File items scanned : 66423
File threats detected : 3

Unclassified.Unknown Origin
HKU\S-1-5-21-776561741-507921405-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Kerstin\Cookies\kerstin@atwola[1].txt
C:\Dokumente und Einstellungen\Kerstin\Cookies\kerstin@adserver.71i[1].txt

Application.PowerReg Scheduler
C:\SYSTEM VOLUME INFORMATION\_RESTORE{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP234\A0045790.EXE




Der vom abgesicherten kommt noch,oder brauch ich den nicht machen ? Denke schon oder? Soll ja nach Anleitung :D


Wann kann ich denn davon ausgehen das er nicht mehr sieht was ich mache?

Lg

Nein. Da muss ich noch viel genauer hinschauen.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

So der Scan in abgesicherten Modus hat nix anderes wie der erste gezeigt. Lediglich die beiden Cookies wurden angezeigt.

Das Scan File vom ComboFix :


ComboFix 09-03-27.02 - Kerstin 2009-03-28 19:08:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.491 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Kerstin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\daemon.exe
c:\windows\system32\NCTAudioFile2.dll
c:\windows\system32\NCTAudioPlayer2.dll
c:\windows\system32\NCTAudioRecord2.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_PCIDump


((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-28 ))))))))))))))))))))))))))))))
.

2009-03-28 15:44 . 2009-03-28 15:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 15:43 . 2009-03-28 15:43 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-03-28 15:43 . 2009-03-28 15:43 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 13:42 . 2009-03-28 13:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-28 13:42 . 2009-03-28 13:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Malwarebytes
2009-03-28 13:42 . 2009-03-28 13:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-28 13:42 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 13:42 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-28 12:38 . 2009-03-28 12:38 <DIR> d-------- c:\programme\Trend Micro
2009-03-28 10:16 . 2009-03-28 10:16 <DIR> d-------- c:\windows\system32\Kaspersky Lab
2009-03-28 10:16 . 2009-03-28 10:16 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-27 23:17 . 2009-03-28 00:27 <DIR> d-------- c:\programme\jasdqw
2009-03-27 02:04 . 2009-03-27 02:04 <DIR> d-------- c:\programme\TeamViewer3
2009-03-23 22:06 . 2009-03-23 22:06 <DIR> dr------- c:\programme\Skype
2009-03-23 22:06 . 2009-03-28 19:13 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Skype
2009-03-21 17:46 . 2009-03-09 20:06 15,688 --a------ c:\windows\system32\lsdelete.exe
2009-03-18 20:38 . 2009-03-18 20:38 <DIR> d-------- c:\programme\Lavalys
2009-03-18 20:35 . 2009-03-18 20:35 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-18 20:34 . 2009-03-18 20:34 <DIR> d-------- c:\programme\Avira
2009-03-18 20:34 . 2009-02-13 11:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-16 10:13 . 2009-03-16 10:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-03-16 10:12 . 2009-03-16 10:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-16 10:11 . 2008-04-07 05:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-03-16 10:11 . 2008-04-07 05:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-03-16 09:30 . 2009-03-16 09:30 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Download Manager
2009-03-15 21:05 . 2009-03-15 21:05 <DIR> d-------- c:\programme\Viewpoint
2009-03-15 18:58 . 2009-03-15 18:58 <DIR> d-------- c:\programme\Season Match 2
2009-03-15 18:57 . 2009-03-15 18:57 <DIR> d-------- c:\programme\Secrets of Olympus
2009-03-15 18:56 . 2009-03-15 18:56 <DIR> d-------- c:\programme\Der Fluch von Montezuma
2009-03-15 18:49 . 2009-03-15 18:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivoGames
2009-03-15 15:31 . 2009-03-15 15:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mIRC
2009-03-15 13:06 . 2009-03-15 13:06 <DIR> d-------- c:\programme\DragonStone
2009-03-15 12:59 . 2009-03-15 13:01 <DIR> d-------- c:\programme\Mahjong Towers Eternity
2009-03-15 12:58 . 2009-03-15 12:58 <DIR> d-------- c:\programme\Haunted Hotel II - Glaube den Luegen
2009-03-15 10:22 . 2009-03-15 10:26 <DIR> d-------- c:\programme\ICQ6.5
2009-03-15 10:05 . 2009-03-15 12:31 <DIR> d-------- c:\programme\Trillian
2009-03-14 17:34 . 2009-03-14 17:34 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Gaijin Ent
2009-03-14 17:04 . 2009-03-15 13:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2009-03-14 12:02 . 2009-03-25 20:52 69 --a------ c:\windows\NeroDigital.ini
2009-03-14 11:42 . 2009-03-14 11:42 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-03-14 11:42 . 2009-03-09 20:06 64,160 --a------ c:\windows\system32\drivers\Lbd.sys
2009-03-13 21:29 . 2009-03-13 21:31 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mobipocket
2009-03-13 21:24 . 2009-03-14 11:34 <DIR> d-------- c:\programme\Haali
2009-03-13 20:33 . 2009-03-28 11:51 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Ahead
2009-03-13 20:32 . 2009-03-13 20:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-13 20:28 . 2009-03-13 20:28 <DIR> d-------- c:\programme\Nero
2009-03-13 20:28 . 2009-03-13 20:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-03-13 13:15 . 2009-03-28 12:13 <DIR> d-------- c:\programme\CCleaner
2009-03-13 13:13 . 2009-03-13 13:13 <DIR> d-------- c:\programme\inKline Global
2009-03-13 13:04 . 2009-03-13 13:28 <DIR> d-------- c:\windows\SxsCaPendDel
2009-03-13 12:46 . 2007-09-26 18:37 3,949,864 --a------ c:\windows\system32\AdvrCntr3.dll
2009-03-07 18:35 . 2009-03-09 10:26 <DIR> d-------- c:\programme\media Verlagsgesellschaft mbH
2009-03-02 00:01 . 2009-03-09 10:48 29 --a------ c:\windows\Irremote.ini
2009-03-01 23:03 . 2009-03-01 23:03 <DIR> d-------- c:\programme\Astonsoft
2009-03-01 23:03 . 2009-03-01 23:05 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\DeepBurner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 17:45 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Winamp
2009-03-28 14:43 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-28 13:31 --------- d-----w c:\programme\Logitech
2009-03-28 11:13 --------- d-----w c:\programme\Zylom Games
2009-03-28 11:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AOL
2009-03-28 11:10 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-28 09:52 --------- d-----w c:\programme\Spybot - Search & Destroy
2009-03-23 21:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-18 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-16 17:12 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-16 09:12 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Viewpoint
2009-03-15 17:57 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Friday's games
2009-03-14 16:37 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Zylom
2009-03-13 19:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-13 12:28 --------- d-----w c:\programme\OXXOGames
2009-03-13 12:13 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-13 12:12 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-03-13 12:11 --------- d-----w c:\programme\Windows Live
2009-03-13 12:05 --------- d-----w c:\programme\Winamp
2009-03-13 12:00 --------- d-----w c:\programme\MSBuild
2009-03-13 11:54 --------- d-----w c:\programme\BitComet
2009-03-13 11:53 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-03-10 06:03 --------- d-----w c:\programme\Google
2009-03-09 10:07 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-03-08 22:48 --------- d-----w c:\programme\Elaborate Bytes
2009-03-04 17:59 --------- d-----w c:\programme\Zattoo
2009-03-04 15:05 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ICQ
2009-03-02 07:17 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Nero
2009-03-01 22:09 --------- d-----w c:\programme\DEUTSCHLAND SPIELT
2009-03-01 22:08 --------- d-----w c:\programme\phase5
2009-03-01 22:08 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Viewpoint
2009-03-01 21:46 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-03-01 21:45 --------- d-----w c:\programme\FileZilla
2009-03-01 21:44 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Tencent
2009-02-26 22:19 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Move Networks
2009-02-22 18:42 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\concept design
2009-02-22 18:39 --------- d-----w c:\programme\concept design
2009-02-12 13:53 --------- d-----w c:\programme\Messenger Plus! Live
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2009-01-30 19:22 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ppstream
2008-10-29 08:04 102,104 ----a-w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mdbu.bin
2008-09-29 21:30 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\C6DE54A3B9.sys
2008-09-29 21:30 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
2008-08-21 19:56 0 -c--a-w c:\programme\temp01
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2009-03-11 24095528]
"SpybotSD TeaTimer"="c:\programme\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-23 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2008-12-05 136600]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"Adobe Acrobat Speed Launcher"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 37232]
"Acrobat Assistant 8.0"="c:\programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 640376]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SoundMan"="SOUNDMAN.EXE" [2003-08-05 c:\windows\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 12:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ad-Watch]
--a------ 2009-03-09 20:06 515416 c:\programme\Lavasoft\Ad-Aware\AAWTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2009-03-01 11:59 172792 c:\programme\ICQ6.5\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"12334:TCP"= 12334:TCP:BitComet 12334 TCP
"12334:UDP"= 12334:UDP:BitComet 12334 UDP

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-03-14 64160]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2004-04-13 77312]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-03-23 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-03-23 72944]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289]
R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\programme\Lavasoft\Ad-Aware\AAWService.exe [2009-03-09 951632]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-03-23 7408]
S0 Daemon;Daemon;c:\windows\system32\drivers\daemon.sys [2009-02-23 35328]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2008-09-01 163328]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2BF6D46-0085-DD53-FF6E-2AA5FECDA371}]
c:\programme\jasdqw\adasdq.exe s
.
Inhalt des "geplante Tasks" Ordners

2009-03-23 c:\windows\Tasks\Ad-Aware Update (Weekly).job
- c:\programme\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-09 20:06]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-LogitechSoftwareUpdate - c:\programme\Logitech\Video\ManifestEngine.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &AIM Toolbar Search
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Per Mitteilung versenden(&M) ...
IE: Send To &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Über Bluetooth senden
FF - ProfilePath - c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrie7&query=
FF - prefs.js: browser.search.selectedEngine - AIM Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrab&query=
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-28 19:12:07
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(708)
c:\programme\SUPERAntiSpyware\SASWINLO.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\wbem\unsecapp.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-28 19:16:06 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-28 18:15:56

Vor Suchlauf: 16 Verzeichnis(se), 13.648.736.256 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 13,573,533,696 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
d:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

254




Lg und viel Spaß bei dem Buchstabensalat. *gg


Edit:Was denkst du John ? Kann ich meinen Nick aus der Sicherheitssperre wieder herausholen ? Oder is die Gefahr das der immer noch auf meinen Pc zugreift zu hoch ?

Du bist noch lange nicht sauber.

1.) Hast du TeamViewer installiert? Wenn ja, warum?

2.) Deinstalliere:

• AdAware
• BitComet
• Spybot
• SuperAntiSpyware

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

4.) Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus.
Wähle die Sprache deiner Wahl und anschließend die Option 2 (Suche)
Warte bis der Scanbericht erstellt wird (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen)

(Sollte dein Desktop verschwinden, drücke bitte Ctrl + Alt + Entf um den Taskmanager zu starten. Wähle unter Datei, neuen Task aus und gib dort explorer.exe ein)

ciao, andreas

Ja das hab ich. Die Unterhaltung sah auch so aus als wäre man mit diesem Programm auf meinem Pc , das Programm war allerdings nicht offen. Benutze das für "Fernwartung" , zwischendurch muss ich meinen Freund helfen weil er irgendwas verstellt hat.

alles bis auf Bit Comet ist deinstalliert. Bei Bit Comet gibt es das Problem das es schon deinstalliert ist. Es wird auch nicht mehr auf HiJack Un-install Liste angezeigt. Wahrscheinlich ist nur noch der Ordner in C:\

Habe den Ordner der komischerweise noch voll mit Dateien war nun gelöscht.


Lg

Das zweite ComboFix File Log.


2. ComboFix File

Edit: Logfile von LOP S&D



--------------------\\ Lop S&D 4.2.5-0 XP/Vista

Microsoft Windows XP Professional ( v5.1.2600 ) Service Pack 3
X86-based PC ( Uniprocessor Free : AMD Sempron(tm) 2200+ )
BIOS : Phoenix - AwardBIOS v6.00PG
USER : Kerstin ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir Desktop 9.0.1.26 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:29 Go (Free:13 Go)
D:\ (Local Disk) - NTFS - Total:47 Go (Free:46 Go)
E:\ (CD or DVD)
F:\ (CD or DVD)

"C:\Lop SD" ( MAJ : 19-12-2008|23:40 )
Option : [1] ( 28.03.2009|20:59 )

--------------------\\ Ordner Verzeichnis unter ANWEND~1

[16.03.2009|10:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe
[25.07.2008|19:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems
[13.03.2009|20:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Ahead
[28.03.2009|12:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL
[24.01.2009|23:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL Downloads
[19.11.2008|23:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\AOL OCP
[26.07.2008|08:02] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple
[09.01.2009|18:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
[18.03.2009|20:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Avira
[02.09.2008|14:27] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CopyPod
[29.09.2008|22:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
[15.03.2009|18:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\DivoGames
[23.01.2009|18:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FarmFrenzy2
[16.03.2009|10:13] C:\DOKUME~1\ALLUSE~1\ANWEND~1\FLEXnet
[22.08.2008|08:15] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Friday's games
[18.01.2009|01:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Fugazo
[18.08.2008|14:30] C:\DOKUME~1\ALLUSE~1\ANWEND~1\GameHouse
[18.01.2009|20:09] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Gogii
[09.03.2009|10:26] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
[22.08.2008|21:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HiddenSecretsNightmare
[18.01.2009|20:04] C:\DOKUME~1\ALLUSE~1\ANWEND~1\HipSoft
[20.01.2009|16:46] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Intenium
[28.03.2009|10:16] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
[27.08.2008|19:51] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab Setup Files
[28.03.2009|20:24] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Lavasoft
[12.12.2008|14:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MAGIX
[28.03.2009|13:42] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Malwarebytes
[10.09.2008|16:34] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Messenger Plus!
[24.01.2009|22:01] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft
[12.01.2009|08:20] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Microsoft Help
[10.12.2008|13:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\MumboJumbo
[23.12.2008|00:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\n7-89-o9-3r-4t-r9
[13.03.2009|20:28] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Nero
[18.01.2009|01:43] C:\DOKUME~1\ALLUSE~1\ANWEND~1\PlayFirst
[15.03.2009|13:49] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Playrix Entertainment
[26.07.2008|21:19] C:\DOKUME~1\ALLUSE~1\ANWEND~1\ScreenSeven
[23.03.2009|22:06] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Skype
[22.08.2008|20:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SpinTop Games
[28.03.2009|15:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
[16.03.2009|18:12] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
[01.03.2009|22:44] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Tencent
[27.07.2008|09:40] C:\DOKUME~1\ALLUSE~1\ANWEND~1\TERMINAL Studio
[30.07.2008|10:00] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Trymedia
[15.03.2009|21:05] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Viewpoint
[09.09.2008|18:47] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
[25.07.2008|16:33] C:\DOKUME~1\ALLUSE~1\ANWEND~1\WLInstaller
[19.08.2008|16:32] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes
[49|Verzeichnis(se),] C:\DOKUME~1\ALLUSE~1\ANWEND~1\Bytes frei

[25.07.2008|07:18] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\DEFAUL~1\ANWEND~1\Bytes frei

[18.08.2008|19:25] C:\DOKUME~1\Kerstin\ANWEND~1\1&1
[16.03.2009|10:12] C:\DOKUME~1\Kerstin\ANWEND~1\Adobe
[28.03.2009|11:51] C:\DOKUME~1\Kerstin\ANWEND~1\Ahead
[27.07.2008|01:25] C:\DOKUME~1\Kerstin\ANWEND~1\Alawar
[22.12.2008|19:12] C:\DOKUME~1\Kerstin\ANWEND~1\Ancient Quest of Saqqarah__gamehouse
[01.09.2008|21:49] C:\DOKUME~1\Kerstin\ANWEND~1\Apple Computer
[21.09.2008|09:08] C:\DOKUME~1\Kerstin\ANWEND~1\BuddyW
[15.01.2009|00:08] C:\DOKUME~1\Kerstin\ANWEND~1\CamTrack
[22.02.2009|19:42] C:\DOKUME~1\Kerstin\ANWEND~1\concept design
[01.09.2008|14:10] C:\DOKUME~1\Kerstin\ANWEND~1\CopyTrans
[01.09.2008|14:07] C:\DOKUME~1\Kerstin\ANWEND~1\CopyTransControlCenter
[08.08.2008|13:36] C:\DOKUME~1\Kerstin\ANWEND~1\CopyTransPhoto
[29.09.2008|22:30] C:\DOKUME~1\Kerstin\ANWEND~1\Corel
[29.09.2008|22:33] C:\DOKUME~1\Kerstin\ANWEND~1\CyberLink
[01.03.2009|23:05] C:\DOKUME~1\Kerstin\ANWEND~1\DeepBurner
[03.09.2008|13:04] C:\DOKUME~1\Kerstin\ANWEND~1\DivX
[16.03.2009|09:30] C:\DOKUME~1\Kerstin\ANWEND~1\Download Manager
[30.07.2008|21:41] C:\DOKUME~1\Kerstin\ANWEND~1\FileZilla
[15.03.2009|18:57] C:\DOKUME~1\Kerstin\ANWEND~1\Friday's games
[14.03.2009|17:34] C:\DOKUME~1\Kerstin\ANWEND~1\Gaijin Ent
[26.12.2008|13:32] C:\DOKUME~1\Kerstin\ANWEND~1\GameHouse
[09.12.2008|21:40] C:\DOKUME~1\Kerstin\ANWEND~1\Google
[05.09.2008|07:57] C:\DOKUME~1\Kerstin\ANWEND~1\Help
[01.09.2008|14:10] C:\DOKUME~1\Kerstin\ANWEND~1\iCloner
[04.03.2009|16:05] C:\DOKUME~1\Kerstin\ANWEND~1\ICQ
[14.03.2009|17:37] C:\DOKUME~1\Kerstin\ANWEND~1\Identities
[21.01.2009|21:45] C:\DOKUME~1\Kerstin\ANWEND~1\Jane s Hotel
[18.01.2009|01:44] C:\DOKUME~1\Kerstin\ANWEND~1\Jane s Hotel Family Hero
[31.10.2008|10:44] C:\DOKUME~1\Kerstin\ANWEND~1\JewelMatch2
[25.07.2008|16:04] C:\DOKUME~1\Kerstin\ANWEND~1\Macromedia
[12.12.2008|14:15] C:\DOKUME~1\Kerstin\ANWEND~1\MAGIX
[28.03.2009|13:42] C:\DOKUME~1\Kerstin\ANWEND~1\Malwarebytes
[12.12.2008|16:33] C:\DOKUME~1\Kerstin\ANWEND~1\michaelkaesper.de Software
[14.03.2009|11:34] C:\DOKUME~1\Kerstin\ANWEND~1\Microsoft
[15.03.2009|15:42] C:\DOKUME~1\Kerstin\ANWEND~1\mIRC
[13.03.2009|21:31] C:\DOKUME~1\Kerstin\ANWEND~1\Mobipocket
[26.02.2009|23:19] C:\DOKUME~1\Kerstin\ANWEND~1\Move Networks
[25.07.2008|15:47] C:\DOKUME~1\Kerstin\ANWEND~1\Mozilla
[28.09.2008|13:37] C:\DOKUME~1\Kerstin\ANWEND~1\MysteryStudio
[02.03.2009|08:17] C:\DOKUME~1\Kerstin\ANWEND~1\Nero
[06.09.2008|10:50] C:\DOKUME~1\Kerstin\ANWEND~1\Opera
[22.12.2008|23:56] C:\DOKUME~1\Kerstin\ANWEND~1\Photo! Web Album
[18.01.2009|01:43] C:\DOKUME~1\Kerstin\ANWEND~1\PlayFirst
[30.01.2009|20:22] C:\DOKUME~1\Kerstin\ANWEND~1\ppstream
[24.01.2009|23:03] C:\DOKUME~1\Kerstin\ANWEND~1\QQ Games Plugin
[01.03.2009|22:46] C:\DOKUME~1\Kerstin\ANWEND~1\Real
[28.03.2009|20:42] C:\DOKUME~1\Kerstin\ANWEND~1\Skype
[19.11.2008|00:02] C:\DOKUME~1\Kerstin\ANWEND~1\skypePM
[25.07.2008|18:15] C:\DOKUME~1\Kerstin\ANWEND~1\Sun
[28.03.2009|20:25] C:\DOKUME~1\Kerstin\ANWEND~1\SUPERAntiSpyware.com
[22.11.2008|14:04] C:\DOKUME~1\Kerstin\ANWEND~1\TeamViewer
[25.07.2008|19:10] C:\DOKUME~1\Kerstin\ANWEND~1\TuneUp Software
[01.03.2009|23:08] C:\DOKUME~1\Kerstin\ANWEND~1\Viewpoint
[29.09.2008|22:14] C:\DOKUME~1\Kerstin\ANWEND~1\vlc
[22.12.2008|21:49] C:\DOKUME~1\Kerstin\ANWEND~1\Wildfire
[28.03.2009|18:45] C:\DOKUME~1\Kerstin\ANWEND~1\Winamp
[22.12.2008|12:34] C:\DOKUME~1\Kerstin\ANWEND~1\WinRAR
[14.03.2009|17:37] C:\DOKUME~1\Kerstin\ANWEND~1\Zylom
[0|Datei(en)] C:\DOKUME~1\Kerstin\ANWEND~1\Bytes
[60|Verzeichnis(se),] C:\DOKUME~1\Kerstin\ANWEND~1\Bytes frei

[18.01.2009|14:58] C:\DOKUME~1\LOCALS~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\LOCALS~1\ANWEND~1\Bytes frei

[18.01.2009|14:58] C:\DOKUME~1\NETWOR~1\ANWEND~1\Microsoft
[0|Datei(en)] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes
[3|Verzeichnis(se),] C:\DOKUME~1\NETWOR~1\ANWEND~1\Bytes frei

--------------------\\ Geplante Aufgaben unter C:\WINDOWS\Tasks

[28.03.2009 20:47][--ah-----] C:\WINDOWS\tasks\SA.DAT
[31.12.2002 13:00][-r-h-----] C:\WINDOWS\tasks\desktop.ini

--------------------\\ Ordner Verzeichnis unter C:\Programme

[09.01.2009|19:46] C:\Programme\1&1
[09.01.2009|20:22] C:\Programme\7-Zip
[20.03.2009|10:15] C:\Programme\Adobe
[01.09.2008|19:18] C:\Programme\AGEIA Technologies
[24.01.2009|23:00] C:\Programme\AIM Search
[01.03.2009|23:03] C:\Programme\Astonsoft
[18.03.2009|20:34] C:\Programme\Avira
[07.10.2008|08:31] C:\Programme\AviSynth 2.5
[17.08.2008|10:05] C:\Programme\BFG
[28.03.2009|12:13] C:\Programme\CCleaner
[25.07.2008|07:15] C:\Programme\ComPlus Applications
[22.02.2009|19:39] C:\Programme\concept design
[17.10.2008|19:14] C:\Programme\Corel
[15.03.2009|18:56] C:\Programme\Der Fluch von Montezuma
[01.03.2009|23:09] C:\Programme\DEUTSCHLAND SPIELT
[22.08.2008|15:27] C:\Programme\directx
[09.01.2009|22:02] C:\Programme\DivX
[09.09.2008|16:58] C:\Programme\Dont get Angry 2
[15.03.2009|13:06] C:\Programme\DragonStone
[22.11.2008|14:08] C:\Programme\DVDVideoSoft
[08.03.2009|23:48] C:\Programme\Elaborate Bytes
[01.03.2009|22:45] C:\Programme\FileZilla
[23.12.2008|00:20] C:\Programme\GameHouse
[28.03.2009|20:46] C:\Programme\Gemeinsame Dateien
[17.10.2008|19:16] C:\Programme\GNU
[10.03.2009|07:03] C:\Programme\Google
[04.12.2008|18:13] C:\Programme\GRETECH
[14.03.2009|11:34] C:\Programme\Haali
[15.03.2009|12:58] C:\Programme\Haunted Hotel II - Glaube den Luegen
[12.12.2008|12:39] C:\Programme\Hot Jingle Player
[05.11.2008|13:51] C:\Programme\htmledit
[15.03.2009|10:26] C:\Programme\ICQ6.5
[13.03.2009|13:13] C:\Programme\inKline Global
[13.03.2009|13:13] C:\Programme\InstallShield Installation Information
[13.03.2009|13:04] C:\Programme\Internet Explorer
[05.12.2008|09:46] C:\Programme\Java
[23.12.2008|22:43] C:\Programme\KONAMI
[28.03.2009|14:31] C:\Programme\Logitech
[12.12.2008|14:19] C:\Programme\MAGIX
[15.03.2009|13:01] C:\Programme\Mahjong Towers Eternity
[28.03.2009|13:42] C:\Programme\Malwarebytes' Anti-Malware
[09.03.2009|10:26] C:\Programme\media Verlagsgesellschaft mbH
[25.07.2008|08:36] C:\Programme\Messenger
[12.02.2009|14:53] C:\Programme\Messenger Plus! Live
[12.12.2008|16:33] C:\Programme\michaelkaesper.de Software
[24.01.2009|22:04] C:\Programme\Microsoft
[25.07.2008|07:18] C:\Programme\microsoft frontpage
[25.07.2008|08:49] C:\Programme\Microsoft Office
[24.01.2009|22:04] C:\Programme\Microsoft Office Outlook Connector
[25.07.2008|08:49] C:\Programme\Microsoft Visual Studio
[25.07.2008|08:49] C:\Programme\Microsoft Works
[23.08.2008|12:34] C:\Programme\Mindscape
[25.07.2008|08:36] C:\Programme\Movie Maker
[28.03.2009|20:57] C:\Programme\Mozilla Firefox
[13.03.2009|13:00] C:\Programme\MSBuild
[25.07.2008|07:14] C:\Programme\MSN
[25.07.2008|07:15] C:\Programme\MSN Gaming Zone
[10.12.2008|13:23] C:\Programme\MumboJumbo
[13.03.2009|20:28] C:\Programme\Nero
[25.07.2008|08:34] C:\Programme\NetMeeting
[16.12.2008|12:35] C:\Programme\No23 Recorder
[25.07.2008|07:15] C:\Programme\Online Services
[25.07.2008|07:17] C:\Programme\Online-Dienste
[03.09.2008|12:45] C:\Programme\Opera
[25.07.2008|08:34] C:\Programme\Outlook Express
[13.03.2009|13:28] C:\Programme\OXXOGames
[31.10.2008|09:42] C:\Programme\Oyla.de - Login
[01.03.2009|23:08] C:\Programme\phase5
[09.09.2008|12:32] C:\Programme\Photo!
[09.01.2009|18:07] C:\Programme\QuickTime
[02.09.2008|17:31] C:\Programme\real
[30.07.2008|10:07] C:\Programme\ReflexiveArcade
[15.03.2009|18:58] C:\Programme\Season Match 2
[15.03.2009|18:57] C:\Programme\Secrets of Olympus
[23.03.2009|22:06] C:\Programme\Skype
[28.03.2009|20:25] C:\Programme\SUPERAntiSpyware
[27.03.2009|02:04] C:\Programme\TeamViewer3
[24.01.2009|23:02] C:\Programme\Tencent
[28.03.2009|12:38] C:\Programme\Trend Micro
[15.03.2009|12:31] C:\Programme\Trillian
[04.12.2008|18:10] C:\Programme\TrueCrypt
[25.07.2008|08:08] C:\Programme\Uninstall Information
[29.09.2008|22:11] C:\Programme\VideoLAN
[15.03.2009|21:05] C:\Programme\Viewpoint
[25.07.2008|15:39] C:\Programme\WIDCOMM
[13.03.2009|13:05] C:\Programme\Winamp
[13.03.2009|13:11] C:\Programme\Windows Live
[27.07.2008|11:15] C:\Programme\Windows Media Connect 2
[27.07.2008|11:15] C:\Programme\Windows Media Player
[25.07.2008|08:34] C:\Programme\Windows NT
[25.07.2008|07:17] C:\Programme\WindowsUpdate
[23.08.2008|12:34] C:\Programme\WindSolutions
[25.12.2008|09:40] C:\Programme\WinRAR
[25.07.2008|07:18] C:\Programme\xerox
[04.03.2009|18:59] C:\Programme\Zattoo
[28.03.2009|12:13] C:\Programme\Zylom Games
[0|Datei(en)] C:\Programme\Bytes
[99|Verzeichnis(se),] C:\Programme\Bytes frei

--------------------\\ Ordner Verzeichnis unter C:\Programme\Gemeinsame Dateien

[16.03.2009|10:12] C:\Programme\Gemeinsame Dateien\Adobe
[25.07.2008|19:25] C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
[13.03.2009|20:31] C:\Programme\Gemeinsame Dateien\Ahead
[13.03.2009|12:53] C:\Programme\Gemeinsame Dateien\Apple
[25.07.2008|08:49] C:\Programme\Gemeinsame Dateien\DESIGNER
[25.07.2008|07:16] C:\Programme\Gemeinsame Dateien\Dienste
[13.03.2009|13:12] C:\Programme\Gemeinsame Dateien\DVDVideoSoft
[01.09.2008|20:58] C:\Programme\Gemeinsame Dateien\InstallShield
[25.07.2008|16:11] C:\Programme\Gemeinsame Dateien\Java
[01.09.2008|20:58] C:\Programme\Gemeinsame Dateien\Logitech
[16.03.2009|10:12] C:\Programme\Gemeinsame Dateien\Macrovision Shared
[18.03.2009|20:30] C:\Programme\Gemeinsame Dateien\Microsoft Shared
[25.07.2008|07:16] C:\Programme\Gemeinsame Dateien\MSSoap
[09.03.2009|11:07] C:\Programme\Gemeinsame Dateien\Nero
[01.09.2008|20:28] C:\Programme\Gemeinsame Dateien\NSV
[25.07.2008|08:11] C:\Programme\Gemeinsame Dateien\ODBC
[01.03.2009|22:46] C:\Programme\Gemeinsame Dateien\Real
[25.07.2008|08:11] C:\Programme\Gemeinsame Dateien\SpeechEngines
[24.01.2009|22:04] C:\Programme\Gemeinsame Dateien\System
[24.01.2009|21:56] C:\Programme\Gemeinsame Dateien\Windows Live
[25.07.2008|16:39] C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
[28.03.2009|20:25] C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
[0|Datei(en)] C:\Programme\Gemeinsame Dateien\Bytes
[24|Verzeichnis(se),] C:\Programme\Gemeinsame Dateien\Bytes frei

--------------------\\ Process

( 22 Processes )

... OK !

--------------------\\ Ueberpruefung mit S_Lop

Kein Lop Ordner gefunden !

--------------------\\ Suche nach Lop Dateien - Ordnern

Kein Lop Ordner gefunden !

--------------------\\ Suche innerhalb der Registry

..... OK !

--------------------\\ Ueberpruefung der Hosts Datei

Hosts Datei SAUBER


--------------------\\ Suche nach verborgenen Dateien mit Catchme

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-28 21:00:53
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden files: 0

--------------------\\ Suche nach anderen Infektionen

--------------------\\ Cracks & Keygens ..

C:\DOKUME~1\Kerstin\Favoriten\Astalavista.MS


[F:1][D:0]-> C:\DOKUME~1\Kerstin\Cookies
[F:1][D:0]-> C:\DOKUME~1\Kerstin\LOKALE~1\TEMPOR~1\content.IE5

1 - "C:\Lop SD\LopR_1.txt" - 28.03.2009|21:01 - Option : [1]

--------------------\\ Scan beendet um 21:01:35


Lg

Bitte die Reihenfolge einhalten. LopSD kannst du wieder deinstallieren.

ciao, andreas

Hmm hab ich denk ich. Erst Punkt 3. dann Punkt 4.

Da du vieeeeel mehr Ahnung hast wie ich, werde ich doch nicht deine Arbeit anzweifeln und alles so machen wie ich des für richtig halte. :)
Danke schon mal für alles und das was noch kommt. Auch wenns wirklich langwierig ist.


Okay *zugeb* Hab den kleinen Punkt von 4. Das LopSD schon bevor ich Punkt 3 gemacht rutnergeladen aber nicht installiert. Das wäre das einzigste. Der Link war nicht verfügbar als ich ihn brauchte, bzw. Warteschlange.


Lg

Sorry, hab den Link übersehen. Bin auch gerade abgelenkt von einer Grundsatzdiskussion über einen anderen Kanal. Passiert nicht wieder.

Muss jetzt erstmal das Log kontrollieren, das dauert etwas.

ciao, andreas

Gleich nocheinmal.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Weils so schön noch einmal :)


ComboFix File



Machst du das eigentlich beruflich oder ist das ein perfekt angelerntes Hobby?


Lg

Jein. Ich war 5 Jahre Netzwerkadministrator, administriere immer noch kleinere Netzwerke, habe auch schon Fachinformatiker ausgebildet. Das Schädlingskillen ist mehr Hobby.
Ich habe eine sehr gute Lehrerin, meine Myrtille, die aber jetzt böse auf mich ist, weil ich dir Everest weggelöscht habe. :(

Ich bin ziemlich sicher, dass das RAT jetzt weg ist, aber eben nur ziemlich. Deshalb werde ich jeden Scanner auf dich loslassen, der greifbar ist. Gehen wir doch mal unkonventionelle Wege.

Stell sicher, daß Dir auch alle Dateien angezeigt werden, suche nach der Datei * (wird lange dauern), Menüzeile: Ansicht => Details, Klick auf die Überschrift "Geändert am" und mache ein Screenshot von allen Dateien im fraglichen Zeitraum +- 1 Stunde.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit dem AVP-Tool sowie mit PrevXCSI.

ciao, andreas

Ui , okay das erklärt einiges.

:d nun kein Scherz , will unbedingt eine Ausbildung in Fachinformatik starten, schon vor ca. einer Woche habe ich mich endgültig dafür entschieden. Heißt das irgendwann könnte ich selber jemanden solche Tipps geben ? *g

Ja Everest *heul , ich fand das Tool recht hilfreich.


So hier erstmal der Lesestoff. Hing alles sehr beim Screenen.

Screen 1-5


Screen 6



So ich werd dann mal alle Programme durchlaufen lassen. Falls ich einschlafe *g schon mal eine gute Nacht! Und Dankeschön.
Falls ich nicht einschlafe , bis später *lach

Liebe Grüße Engelstraene die dir seeeehr dankbar ist :)

Aktuelle Trials gibt es hier: Lavalys - Comprehensive IT Security and Management

Freie z.B. hier: Everest Home Edition

Hast du den Link noch, auf den du geklickt hast? Falls ja, dann schicke ihn mir bitte als PN.

ciao, andreas

Morgen gähn, soeben bin ich fertig mit dem Dr.Web

ComboFix.exe/data002\32788R22FWJFW\c.bat;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Wahrscheinlich BATCH.Virus;;
ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe;C:\Dokumente und Einstellungen\Kerstin\Desktop\ComboFix.exe/data002;Program.PsExec.171;;
data002;C:\Dokumente und Einstellungen\Kerstin\Desktop;Archiv enthält infizierte Objekte;;
ComboFix.exe;C:\Dokumente und Einstellungen\Kerstin\Desktop;Container enthält infizierte Objekte;Verschoben.;
adasdq.exe.vir;C:\Qoobox\Quarantine\C\Programme\jasdqw;Trojan.Inject.5089;Gelöscht.;
A0048122.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP257;Trojan.Inject.5089;Gelöscht.;
A0049682.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Wahrscheinlich BATCH.Virus;;
A0049685.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Program.PsExec.170;;
A0049895.reg;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP260;Trojan.StartPage.1505;Gelöscht.;
A0049970.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP261;Wahrscheinlich BATCH.Virus;;
A0050039.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP262;Wahrscheinlich BATCH.Virus;;
A0050108.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Trojan.Inject.5089;Gelöscht.;
A0050132.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Wahrscheinlich BATCH.Virus;;
A0050135.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP263;Program.PsExec.170;;
A0050325.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Wahrscheinlich BATCH.Virus;;
A0050328.EXE;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Program.PsExec.170;;
A0050381.exe/data002\32788R22FWJFW\c.bat;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Wahrscheinlich BATCH.Virus;;
A0050381.exe/data002\32788R22FWJFW\psexec.cfexe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264\A0050381.exe/data002;Program.PsExec.171;;
data002;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Archiv enthält infizierte Objekte;;
A0050381.exe;C:\System Volume Information\_restore{9843C67A-07E2-4835-99FA-4AE47488F8F4}\RP264;Container enthält infizierte Objekte;Verschoben.;





Zu dem Link, gerade zur Verfügung leider nicht. Da mein Nick noch gesperrt ist, kann ich meine Nachrichten nicht öffnen. Könnte ihn dir im Nachhinein schicken. Bin noch unsicher ob ichs jetzt schon freischalten lassen soll. Ich warte lieber noch bis ich wirklich "sauber" bin.

Was ich mich nun frage ist... Ist das ein Fehlarlam bei der ComboFix Datei ? Ich habs trotzdem verschoben, hast du mir ja so gesagt. Das was ich nicht verschieben konnte hab ich gelöscht. Hoffe das war richtig.


Der Rest kommt nun auch.

Lg

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.
Mmh. Bei dem, was bisher gefunden wurde, solltest du auf die letzten beiden Links in meiner Signatur klicken und alles aufmerksam durchlesen.
Das Antivirenprogramme sich gegenseitig als Schädlinge erkennen ist "normal" (oder Firmenpolitik?).
Passt schon.
Mit der fragliche Zeitraum meinte ich den Zeitraum, als du auf den Link geklickt hast. :)

ciao, andreas

Morgen :)

So die Systemwiederherstellung ist deaktiviert.


Wegen den Screens öhm ja. *g Hier sind die richtigen.

Eins hat sich nicht eingeordnet nachdem ich nach Zeit anzeigen gemacht hab , hab ich mal einen Pfeil vorgesetzt.

Liebe Grüße

Morgen, :)

da ist noch etwas. :(

Doppelklicke in der Überschrift genau auf die Grenze zwischen "Im Ordner" und "Größe" damit der volle Ordnername sichtbar wird. Dann nocheinmal Screenshots erstellen. Ich brauche den vollen Pfad zum Ordner "5" und zu den Dateien mit den vielen Zahlen.

ciao, andreas

Okay , wie doof von mir.


Hier nochmal beide Screens mit vollem Pfad.

Screens mit vollem Pfad.


Liebe Grüße.


Ps. Tu mich heut morgen ein wenig schwer :rolleyes:

Am liebsten wäre mir, du würdest AOL komplett deinstallieren und anschliessend installieren. Damit meine ich deinstallieren, anschliessend mit der Windowssuche nach AOL suchen und alle Ordner und Dateien löschen, die gefunden werden. Damit verlierst du natürlich auch den Verlauf, aber ich denke, dass ist das kleinste Übel. Anschliessend kannst du deine Konten wieder aktivieren.

Poste bitte ein aktuelles HJT-Log.

ciao, andreas

Ok, Aol ist derzeit Deinstalliert :)

Der neue Log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:42:39, on 29.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.micro***.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.micro***.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.micro***.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O2 - BHO: (no name) - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: is-LU9UI.lnk = C:\Dokumente und Einstellungen\Kerstin\Desktop\Virus Removal Tool\is-LU9UI\startup.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspe****.com/kos/german/...an_unicode.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://h***://*************.live.com...d/MsnPUpld.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - ***p://support.f-secure.com/ols/fscax.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Unknown owner - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe

--
End of file - 7563 bytes




ActivScan Ergebnis



Kaspersky Ergebnis


Edit:PrevXCSI hat nichts gefunden. Allerdings hat er nur die laufenden Prozesse durchsucht. War das richtig so ?



LG

Ich sehe gerade, dass du Nero BackItUp am Laufen hast. Warum hast du dein Backup nicht einfach zurückgespielt?

Deinstalliere alle Scanner, die wir eingesetzt haben, bis auf MalwareBytes.

Starte HJT => Do a system scan only => Markiere:
=> Fix checked

ciao, andreas

Edit: Dann war es das. 100%ige Sicherheit hast du nicht, aber die gibt es eh nicht. Misstraue deinem Rechner in der nächsten Zeit. Ich bin ziemlich sicher, dass er sich nicht mehr melden wird. Es sei denn, du hältst dich an meine Anleitung (besonders Punkt 1 und 8 :) ): http://www.trojaner-board.de/396401-post22.html

Lade dir nocheinmal ComboFix. Poste ein letztes ComboFix-Log und anschliessend:
Start => Ausführen => combofix /u => OK

Zu NeroBackItUp , ganz ehrlich? Wofür genau das da ist weiß ich nicht, ich google mal schnell. Wieder ein Fehler, hab Sachen auf dem Pc wo ich nicht weiß was es ist. *selber eingesteh* Das wird sich nun ändern :D , aber bitte sag mir jetzt nicht das wir uns durch NeroBackItUp die ganzen Scans und Logs hätten sparen können ?? :rolleyes:


Zu deiner Anleitung... Das ist die erste die ich nicht befolgen werde *ätsch*

Das Log :


ComboFix 09-03-28.06 - Kerstin 2009-03-29 11:33:42.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.514 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kerstin\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
.

((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-29 ))))))))))))))))))))))))))))))
.

2009-03-29 10:48 . 2009-03-29 10:48 66 --a------ c:\windows\wininit.ini
2009-03-29 08:40 . 2009-03-29 11:02 <DIR> d-------- c:\programme\Panda Security
2009-03-29 03:34 . 2009-03-29 11:36 10,455,072 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-29 03:34 . 2008-07-08 13:54 148,496 --a------ c:\windows\system32\drivers\86493282.sys
2009-03-29 03:34 . 2009-03-29 11:31 115,184 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-29 00:29 . 2009-03-29 00:50 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\DoctorWeb
2009-03-28 16:44 . 2009-03-28 16:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 16:43 . 2009-03-28 21:25 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Malwarebytes
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-28 14:42 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 14:42 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-28 13:38 . 2009-03-28 13:38 <DIR> d-------- c:\programme\Trend Micro
2009-03-27 03:04 . 2009-03-27 03:04 <DIR> d-------- c:\programme\TeamViewer3
2009-03-23 23:06 . 2009-03-23 23:06 <DIR> dr------- c:\programme\Skype
2009-03-23 23:06 . 2009-03-28 21:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Skype
2009-03-18 21:35 . 2009-03-18 21:35 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-18 21:34 . 2009-03-18 21:34 <DIR> d-------- c:\programme\Avira
2009-03-18 21:34 . 2009-02-13 12:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-16 11:13 . 2009-03-16 11:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-03-16 11:12 . 2009-03-16 11:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-16 11:11 . 2008-04-07 06:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-03-16 11:11 . 2008-04-07 06:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-03-16 10:30 . 2009-03-16 10:30 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Download Manager
2009-03-15 19:58 . 2009-03-15 19:58 <DIR> d-------- c:\programme\Season Match 2
2009-03-15 19:57 . 2009-03-15 19:57 <DIR> d-------- c:\programme\Secrets of Olympus
2009-03-15 19:56 . 2009-03-15 19:56 <DIR> d-------- c:\programme\Der Fluch von Montezuma
2009-03-15 19:49 . 2009-03-15 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivoGames
2009-03-15 16:31 . 2009-03-15 16:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mIRC
2009-03-15 14:06 . 2009-03-15 14:06 <DIR> d-------- c:\programme\DragonStone
2009-03-15 13:58 . 2009-03-15 13:58 <DIR> d-------- c:\programme\Haunted Hotel II - Glaube den Luegen
2009-03-15 11:22 . 2009-03-15 11:26 <DIR> d-------- c:\programme\ICQ6.5
2009-03-14 18:34 . 2009-03-14 18:34 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Gaijin Ent
2009-03-14 18:04 . 2009-03-15 14:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2009-03-14 13:02 . 2009-03-25 21:52 69 --a------ c:\windows\NeroDigital.ini
2009-03-13 22:29 . 2009-03-13 22:31 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mobipocket
2009-03-13 21:33 . 2009-03-28 12:51 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Ahead
2009-03-13 21:32 . 2009-03-13 21:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-13 21:28 . 2009-03-13 21:28 <DIR> d-------- c:\programme\Nero
2009-03-13 21:28 . 2009-03-13 21:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-03-13 14:15 . 2009-03-28 13:13 <DIR> d-------- c:\programme\CCleaner
2009-03-13 13:46 . 2007-09-26 19:37 3,949,864 --a------ c:\windows\system32\AdvrCntr3.dll
2009-03-02 01:01 . 2009-03-09 11:48 29 --a------ c:\windows\Irremote.ini
2009-03-02 00:03 . 2009-03-02 00:05 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\DeepBurner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 19:25 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-28 19:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-28 17:45 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Winamp
2009-03-28 13:31 --------- d-----w c:\programme\Logitech
2009-03-28 11:13 --------- d-----w c:\programme\Zylom Games
2009-03-23 21:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-18 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-16 17:12 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-16 09:12 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Viewpoint
2009-03-15 17:57 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Friday's games
2009-03-14 16:37 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Zylom
2009-03-13 19:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-13 12:13 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-13 12:12 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-03-13 12:11 --------- d-----w c:\programme\Windows Live
2009-03-13 12:05 --------- d-----w c:\programme\Winamp
2009-03-13 12:00 --------- d-----w c:\programme\MSBuild
2009-03-13 11:53 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-03-09 10:07 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-03-04 17:59 --------- d-----w c:\programme\Zattoo
2009-03-04 15:05 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ICQ
2009-03-02 07:17 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Nero
2009-03-01 22:08 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Viewpoint
2009-03-01 21:46 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-02-22 18:42 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\concept design
2009-02-12 13:53 --------- d-----w c:\programme\Messenger Plus! Live
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2009-01-30 19:22 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ppstream
2008-10-29 08:04 102,104 ----a-w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mdbu.bin
2008-09-29 21:30 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\C6DE54A3B9.sys
2008-09-29 21:30 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2009-03-29_11.29.39,82 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-03-29 09:32:31 16,384 ----atw c:\windows\temp\Perflib_Perfdata_5e8.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2004-04-13 77312]
R1 is-LU9UIdrv;is-LU9UIdrv;c:\windows\system32\drivers\86493282.sys [2009-03-29 148496]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2008-09-01 163328]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &AIM Toolbar Search
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Per Mitteilung versenden(&M) ...
IE: Send To &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Über Bluetooth senden
FF - ProfilePath - c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrie7&query=
FF - prefs.js: browser.search.selectedEngine - AIM Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrab&query=
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 11:35:49
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2009-03-29 11:37:31
ComboFix-quarantined-files.txt 2009-03-29 09:37:27
ComboFix2.txt 2009-03-29 09:30:49
ComboFix3.txt 2009-03-29 09:20:58

Vor Suchlauf: 17 Verzeichnis(se), 16.033.767.424 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 16,021,397,504 Bytes frei

172



Liebe Grüße

Nur dann, wenn du vorher ein Backup gemacht hättest, aber danach sieht es ja eher nicht aus. :(
Ach ja? Wer hat nochmal auf einen Link geklickt, den er per Messenger bekommen hat? :confused:

Ich bin ziemlich sicher, dass du daraus gelernt hast, sonst wirst du hier Dauergast werden. :)

:eek: Wo kommt der denn her? Möchtest du mich ärgern oder dafür sorgen, dass ich schnellstmöglich ins Grab komme? :heulen:

Was hab ich nochmal geschrieben?
Du schreibst jetzt 100mal an die Tafel: Ich soll alle Scanner, bis auf MalwareBytes, deinstallieren! :aufsmaul:

Falls du ComboFix schon deinstalliert hast, dann lade es gleich nochmal runter.

Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

Wuah nu bekomm ich Angst...

Herr Lehrer das hab ich wirklich nicht gesehen, können Sie da nicht noch einmal ein Auge zu drücken ?


Ich versprech auch ich klicke nie wieder auf Links die schon auf komische Filehoster geladen sind. *schwör* Außerdem war das kein Messenger sondern des war im Chat :lach: *wegrenn*

So ich werd dann mein Script reinhauen und dann alles nochmal machen. Aber nun ehrlich, in Software und in C:\Programme war das nicht drin. In Windows direkt trau ich mich nicht einfach etwas zu löschen. :)

Bis gleich

:nixda:
Das würde auch nicht reichen, der hat sich als Dienst installiert.

ciao, andreas

*schon mal an die Tafel stell und die Kreide such* :heulen:

Achso okay. Ich trau mich trotzdem nicht *g


Das neue Log:


ComboFix 09-03-28.06 - Kerstin 2009-03-29 12:09:15.9 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.767.500 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Kerstin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Kerstin\Desktop\cfscript.txt
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IS-LU9UIDRV
-------\Service_is-LU9UIdrv


((((((((((((((((((((((( Dateien erstellt von 2009-02-28 bis 2009-03-29 ))))))))))))))))))))))))))))))
.

2009-03-29 10:48 . 2009-03-29 10:48 66 --a------ c:\windows\wininit.ini
2009-03-29 08:40 . 2009-03-29 11:02 <DIR> d-------- c:\programme\Panda Security
2009-03-29 03:34 . 2009-03-29 12:11 12,216,352 --ahs---- c:\windows\system32\drivers\fidbox.dat
2009-03-29 03:34 . 2008-07-08 13:54 148,496 --a------ c:\windows\system32\drivers\86493282.sys
2009-03-29 03:34 . 2009-03-29 12:11 145,280 --ahs---- c:\windows\system32\drivers\fidbox.idx
2009-03-29 00:29 . 2009-03-29 00:50 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\DoctorWeb
2009-03-28 16:44 . 2009-03-28 16:44 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 16:43 . 2009-03-28 21:25 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\SUPERAntiSpyware.com
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Malwarebytes
2009-03-28 14:42 . 2009-03-28 14:42 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-28 14:42 . 2009-03-26 17:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-28 14:42 . 2009-03-26 17:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-03-28 13:38 . 2009-03-28 13:38 <DIR> d-------- c:\programme\Trend Micro
2009-03-27 03:04 . 2009-03-27 03:04 <DIR> d-------- c:\programme\TeamViewer3
2009-03-23 23:06 . 2009-03-23 23:06 <DIR> dr------- c:\programme\Skype
2009-03-23 23:06 . 2009-03-28 21:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Skype
2009-03-18 21:35 . 2009-03-18 21:35 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-03-18 21:34 . 2009-03-18 21:34 <DIR> d-------- c:\programme\Avira
2009-03-18 21:34 . 2009-02-13 12:31 55,640 --a------ c:\windows\system32\drivers\avgntflt.sys
2009-03-16 11:13 . 2009-03-16 11:13 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-03-16 11:12 . 2009-03-16 11:12 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-03-16 11:11 . 2008-04-07 06:38 45,392 -ra------ c:\windows\system32\AdobePDF.dll
2009-03-16 11:11 . 2008-04-07 06:38 22,872 -ra------ c:\windows\system32\AdobePDFUI.dll
2009-03-16 10:30 . 2009-03-16 10:30 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Download Manager
2009-03-15 19:58 . 2009-03-15 19:58 <DIR> d-------- c:\programme\Season Match 2
2009-03-15 19:57 . 2009-03-15 19:57 <DIR> d-------- c:\programme\Secrets of Olympus
2009-03-15 19:56 . 2009-03-15 19:56 <DIR> d-------- c:\programme\Der Fluch von Montezuma
2009-03-15 19:49 . 2009-03-15 19:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DivoGames
2009-03-15 16:31 . 2009-03-15 16:42 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mIRC
2009-03-15 14:06 . 2009-03-15 14:06 <DIR> d-------- c:\programme\DragonStone
2009-03-15 13:58 . 2009-03-15 13:58 <DIR> d-------- c:\programme\Haunted Hotel II - Glaube den Luegen
2009-03-15 11:22 . 2009-03-15 11:26 <DIR> d-------- c:\programme\ICQ6.5
2009-03-14 18:34 . 2009-03-14 18:34 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Gaijin Ent
2009-03-14 18:04 . 2009-03-15 14:49 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Playrix Entertainment
2009-03-14 13:02 . 2009-03-25 21:52 69 --a------ c:\windows\NeroDigital.ini
2009-03-13 22:29 . 2009-03-13 22:31 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mobipocket
2009-03-13 21:33 . 2009-03-28 12:51 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Ahead
2009-03-13 21:32 . 2009-03-13 21:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Ahead
2009-03-13 21:28 . 2009-03-13 21:28 <DIR> d-------- c:\programme\Nero
2009-03-13 21:28 . 2009-03-13 21:31 <DIR> d-------- c:\programme\Gemeinsame Dateien\Ahead
2009-03-13 14:15 . 2009-03-28 13:13 <DIR> d-------- c:\programme\CCleaner
2009-03-13 13:46 . 2007-09-26 19:37 3,949,864 --a------ c:\windows\system32\AdvrCntr3.dll
2009-03-02 01:01 . 2009-03-09 11:48 29 --a------ c:\windows\Irremote.ini
2009-03-02 00:03 . 2009-03-02 00:05 <DIR> d-------- c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\DeepBurner

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-28 19:25 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-03-28 19:24 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Lavasoft
2009-03-28 17:45 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Winamp
2009-03-28 13:31 --------- d-----w c:\programme\Logitech
2009-03-28 11:13 --------- d-----w c:\programme\Zylom Games
2009-03-23 21:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-18 19:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-03-16 17:12 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-03-16 09:12 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-15 20:05 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Viewpoint
2009-03-15 17:57 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Friday's games
2009-03-14 16:37 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Zylom
2009-03-13 19:28 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-13 12:13 --------- d--h--w c:\programme\InstallShield Installation Information
2009-03-13 12:12 --------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-03-13 12:11 --------- d-----w c:\programme\Windows Live
2009-03-13 12:05 --------- d-----w c:\programme\Winamp
2009-03-13 12:00 --------- d-----w c:\programme\MSBuild
2009-03-13 11:53 --------- d-----w c:\programme\Gemeinsame Dateien\Apple
2009-03-09 10:07 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-03-04 17:59 --------- d-----w c:\programme\Zattoo
2009-03-04 15:05 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ICQ
2009-03-02 07:17 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Nero
2009-03-01 22:08 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Viewpoint
2009-03-01 21:46 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-02-22 18:42 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\concept design
2009-02-12 13:53 --------- d-----w c:\programme\Messenger Plus! Live
2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll
2009-01-30 19:22 --------- d-----w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\ppstream
2008-10-29 08:04 102,104 ----a-w c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\mdbu.bin
2008-09-29 21:30 88 --sh--r c:\dokumente und einstellungen\All Users\Anwendungsdaten\C6DE54A3B9.sys
2008-09-29 21:30 2,516 --sha-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth.lnk
backup=c:\windows\pss\Bluetooth.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 c:\programme\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 16:57 153136 c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [2008-07-31 20616]
R0 viasraid;viasraid;c:\windows\system32\drivers\viasraid.sys [2004-04-13 77312]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [2009-03-18 108289]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [2008-12-07 30088]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [2008-07-02 26248]
S3 PID_0920;Logitech QuickCam Express(PID_0920);c:\windows\system32\drivers\LV532AV.SYS [2008-09-01 163328]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
IE: &AIM Toolbar Search
IE: An vorhandene PDF-Datei anfügen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Linkziel an vorhandene PDF-Datei anhängen - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Linkziel in Adobe PDF konvertieren - c:\programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: Per Mitteilung versenden(&M) ...
IE: Send To &Bluetooth - c:\programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Über Bluetooth senden
FF - ProfilePath - c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\
FF - prefs.js: browser.search.defaulturl - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrie7&query=
FF - prefs.js: browser.search.selectedEngine - AIM Search
FF - prefs.js: keyword.URL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2706&invocationType=tb50fftrab&query=
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\dokumente und einstellungen\Kerstin\Anwendungsdaten\Mozilla\Firefox\Profiles\hfk2ch22.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071302000004.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-29 12:12:29
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-03-29 12:14:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-03-29 10:14:45
ComboFix2.txt 2009-03-29 09:37:33

Vor Suchlauf: 17 Verzeichnis(se), 16.005.140.480 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 15,955,345,408 Bytes frei

185

OK, dann nochmal.

Start => Ausführen => combofix /u => Ok

Schönen Sonntag noch,
Andreas

Danke für Alles :)

Ich bin also nun Sauber ?

Dann wünsche ich dir auch noch nen schönen Sonntag :)

LG

Kann ich nicht sehen, stell mal die Webcam an. :D

ciao, andreas

Okay *g , Frage beantwortet


*freu -freu -freu -freu -freu*

Danke schön nochmal. Auch wenn du mir geholfen hast und sehr nett warst , hoffe ich das ich dich vorerst nicht wieder seh ;)

Weißt ja wies gemeint ist. Werd deine Tipps beachten.

Tschühüs und schönen Sonntag.

Liebe Grüße Kerstin

Hallo,

ich bin mit genau dem selben Problem auf das Board aufmerksam geworden. Ich bin ebenfalls Mod in dem Chatt und hab ebenfalls die dubiose Nachricht bekommen, runter geladen und ausgeführt ...

So wie ich des hier im Verlauf festgestellt hab ist das nicht mit kurz Virenprogramm übern Rechner laufen lassen nicht getan.

Ich wär froh wenn du mir ebenfalls weiter helfen könntest meinen Rechner sauber zu bekommen, ohne dass ich ihn Formatieren muss. Keine Lust wieder alles neu zu machen ^^

Wenn du mir weiter helfen kannst/willst ;D - ist ja nen heiden aufwand - dann würd ich mich über eine Antwort sehr freuen :)

Danke und Gruß Benni

Hallo und :hallo:

Das hat Spaß gemacht, also gerne. Bitte eröffne ein eigenes Thema, wie jeder hier.

ciao, andreas